Разработчики FFmpeg выпустили обновление 8.1.2 (17 июня), устраняющее уязвимость PixelSmash (CVE‑2026‑8461, CVSS 8.8) в декодере MagicYUV, позволявшую удалённое выполнение кода через специально сформированный AVI, MKV или MOV‑файл. Уязвимость использует out‑of‑bounds запись в буфер heap и может срабатывать при открытии файла, генерации превью или извлечении метаданных, затрагивая Jellyfin, Nextcloud, Kodi, mpv, Emby, Immich, PhotoPrism, OBS Studio и другие проекты, использующие libavcodec. Plex не подвержен, так как использует собственную сборку FFmpeg с отключёнными декодерами. Пользователям рекомендуется как можно быстрее перейти на FFmpeg 8.1.2.
